Integrazione Cisco Duo
Cisco Duo può essere integrato con Sophos Central per l’invio dei dati relativi ai tentativi di autenticazione degli utenti a Sophos Central, a scopo di analisi.
Questa pagina fornisce una panoramica dell’integrazione.
Panoramica del prodotto Cisco Duo
La soluzione di autenticazione a più fattori (MFA) di Cisco Duo è una piattaforma basata sul cloud progettata per confermare le identità degli utenti prima di concedere accesso alle applicazioni. Agisce applicando un livello di sicurezza aggiuntivo, per fare in modo che gli utenti debbano fornire due o più metodi di verifica per autenticare la propria identità.
Documenti Sophos
I dati raccolti e inseriti
Inseriamo avvisi se il motivo è denied
o fraud
.
Esempi di avvisi visualizzati da Sophos:
deny_unenrolled_user
invalid_device
user_marked_fraud
country_code_mismatch
Avvisi inseriti per intero
Inseriamo tutti gli avvisi se il motivo è denied
o fraud
.
Per un elenco completo degli avvisi, vedere la sezione “reasons” (Motivi) della tabella sotto [Authentication logs (Log di autenticazione)](https://duo.com/docs/adminapi#authentication-logs)
Non inseriamo avvisi con il motivo success
, a causa dell’elevato volume di attività di accesso riuscito.
Filtraggio
Eseguiamo query sull’endpoint dei log di autenticazione. Vedere Log di autenticazione
Filtriamo i risultati solo per confermare il formato.
Esempi di mapping delle minacce
Se il campo “reason” è vuoto, utilizziamo il valore di “event_type”. In caso contrario, utilizziamo il valore “reason” - “=> isEmpty(fields.reason) ? fields.event_type : fields.reason”
{"alertType": "touch_id_disabled", "threatId": "T1562.001", "threatName": "Disable or Modify Tools"}
{"alertType": "invalid_device", "threatId": "T1200", "threatName": "Hardware Additions"}
{"alertType": "anomalous_push", "threatId": "T1111", "threatName": "Two-Factor Authentication Interception"}
Documentazione del vendor
Configurare autorizzazioni e credenziali
Nota
L’API Duo ha un limite di 1 richiesta al minuto. Abbiamo un ritardo di 1 minuto tra chiamate impaginate, ma abbiamo notato in passato che alcuni clienti utilizzavano le credenziali di Duo con altri servizi (ad esempio Splunk), e questi servizi “rubavano” la quota del tasso limite, il che risultava in diversi errori di limitazione/429. In tale eventualità, occorre utilizzare un set di credenziali univoco per ciascun servizio.